Документами Банка России в области стандартизации обеспечения информационной безопасности, в том числе стандартом Банка России СТО БР ИББС-1.0 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" (далее - СТО БР ИББС-1.0) определена необходимость выполнения организациями банковской системы (далее - БС) Российской Федерации (далее - РФ) деятельности по выявлению инцидентов информационной безопасности (далее - ИБ) и реагированию на инциденты ИБ.
К числу инцидентов ИБ относятся свершившиеся, предпринимаемые или вероятные реализации угроз ИБ, целью и (или) результатом которых являются:
- несанкционированное распоряжение денежными средствами, которое привело или может привести к:
- осуществлению переводов денежных средств по распоряжению лиц, не обладающих правом распоряжения этими денежными средствами;
- несвоевременности осуществления переводов денежных средств;
- осуществлению переводов денежных средств с использованием искаженной информации, содержащейся в распоряжениях на осуществление переводов денежных средств (реквизитов платежей);
- деструктивное воздействие на информационную инфраструктуру, используемую для осуществления переводов денежных средств, которое привело или может привести к нарушению непрерывности оказания платежных услуг.
Такие угрозы ИБ могут осуществляться как работниками организации БС РФ и иными лицами, имеющими легально предоставленный доступ к информационной инфраструктуре, используемой для осуществления переводов денежных средств (внутренними нарушителями ИБ), так и лицами, не имеющими такого доступа, в том числе не являющимися работниками организации БС РФ (внешними нарушителями ИБ).
Одними из ключевых направлений работ в рамках реагирования на инциденты ИБ являются:
- определение технических способов и схем реализаций угроз ИБ, целью и (или) результатом которых являются несанкционированное распоряжение денежными средствами и (или) нарушение непрерывности оказания платежных услуг (далее - угрозы ИБ), на основе сбора и анализа технических данных, формируемых объектами информационной инфраструктуры организации БС РФ и (или) клиентов;
- предотвращение повторных реализаций угроз ИБ с использованием ранее примененных технических способов и схем;
- проведение идентификации субъектов, реализующих угрозы ИБ, на основе результатов обработки технических данных, полученных в рамках реагирования на инциденты ИБ;
- проведение своевременного выявления маркеров "скрытого" несанкционированного управления объектами информационной инфраструктуры, используемыми для осуществления переводов денежных средств, на основе результатов обработки технических данных, полученных в рамках реагирования на инциденты ИБ.
Для обеспечения возможности выполнения указанных направлений работ в рамках системы менеджмента инцидентов ИБ (в том числе на стадии сбора и фиксации информации об инциденте ИБ), реализуемой в соответствии с рекомендациями в области стандартизации Банка России РС БР ИББС-2.5 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Менеджмент инцидентов информационной безопасности" (далее - РС БР ИББС-2.5), организации БС РФ рекомендуется применение методов сбора, обработки, анализа и документирования данных, формируемых объектами информационной инфраструктуры, в том числе техническими средствами защиты информации, используемыми организациями БС РФ и их клиентами для осуществления переводов денежных средств (далее - технические данные), связанных со свершившимися, предпринимаемыми или вероятными реализациями угроз ИБ.
Настоящий документ устанавливает рекомендации к деятельности организаций БС РФ, реализующих функции операторов по переводу денежных средств или операторов услуг платежной инфраструктуры, по применению организационных, технологических и технических подходов, связанных со сбором, обработкой, анализом и распространением (передачей) технических данных.